SlideShare a Scribd company logo

Presentació de PGP (Pretty Good Privacy)

Roger Casadejús Pérez
Roger Casadejús Pérez

Presentació de PGP. Més manuals a: http://www.exabyteinformatica.com

1 of 7
Download to read offline
Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ Presentació de PGP (Pretty Good Privacy) Per entendre els orígens de PGP, hem de remuntar-nos a l'any 1991. En aquella època, el govern nord-americà estava començant a perdre el control sobre la criptografia, però seguia sent el seu principal usuari i les grans agències governamentals (particularment, la NSA) aplicaven tota la seva força a intentar restringir els usos no controlats dels sistemes criptogràfics. El 17 d'abril de 1991, la premsa d'EUA. va informar sobre una mesura introduïda en un paquet de legislació antiterrorista. D'haver estat aprovat, tots els fabricants d'equips de telecomunicacions haguessin estat obligats a instal·lar-ho posteriorment en els seus sistemes. L'esborrany d'aquesta llei deia: "És opinió del Congrés que els proveïdors de serveis de comunicació electrònica i fabricants d'equips per a serveis de comunicacions electròniques s'assegurin que els sistemes de comunicacions permetin al govern obtenir els continguts en text no xifrat de veu, dades i altres comunicacions quan estigui apropiadament autoritzat per la llei." Aquesta llei no es va arribar a aprovar, però mostrava obertament que el camp sencer de matemàtiques conegut com a criptografia es trobava en un trist de ser il·legalitzat. No només no hi hauria sistemes "segurs", sinó que s’inclou que la recerca matemàtica pura seria controlada i aprovada (o no) per la NSA. Això va revoltar a moltes persones, entre elles a un llicenciat informàtic anomenat Philip Zimmermann. El nostre heroi del dia. Philip Zimmermann es va enfrontar a l'amenaça de la il·legalització de la criptografia fent el que millor sabia fer: programar. Va pensar en un programa de xifrat fàcil d'usar, i tan segur que fos pràcticament inexpugnable. Per a això, va tirar mà del sistema de clau pública RSA, que havia estat inventat quinze anys abans, i ho va combinar amb un algorisme de clau simètrica de la seva pròpia invenció denominat Bass-O-Matic. La idea era generar un sistema híbrid, on el missatge era xifrat mitjançant l'algorisme simètric, la clau del qual era al seu torn xifrada per l'algorisme asimètric. També podia efectuar operacions de signatura digital, pel que utilitzava l'algorisme hash MD4. El programa així creat va ser batejat com PGP, inicials de Pretty Good Privacy (Privadesa Bastant Bona), i alliberat com a versió 1.0. Phil Zimmermann explica per què ho va fer: "Ens movem cap a un futur en el qual la nació estarà creuada per xarxes de dades d'alta capacitat, que uniran tots els nostres ordinadors. L'e-mail serà la norma per a tots ... potser algunes persones prefereixin les seves pròpies mesures de protecció (les del govern)... Si la privadesa és criminalitzada, només els criminals tindran privadesa ... però les persones corrents no tenen gairebé accés a tecnologia de grau militar per a criptografia de clau pública. PGP permet que les persones prenguin el control de la seva privadesa. Hi ha una creixent necessitat social per a això. Per això ho vaig escriure..." PGP 1.0 va ser un programa precipitat, i tenia alguns problemes.
Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ Per començar, l'algorisme simètric Bass-O-Matic va ser una creació de Phil, qui no era criptògraf professional, i el seu algorisme es va mostrar feble. També l'algorisme de hash MD4 tenia fallades. Però el sistema funcionava, i aviat es va anar estenent. Phil Zimmermann va distribuir còpies a alguns dels seus amics, aquests l'hi van passar a uns altres, i a poc a poc van anar apareixent còpies digitals, primer en butlletins BBS d'Estats Units i després, saltant les fronteres, a Internet i a la resta del món. Aquí va començar un dels trebcaclosques de cap per Zimmermann. Les regulacions ITAR, inicialment dissenyades per evitar l'exportació de tecnologia sensible a països del bloc de l'Est, restringia fortament l'exportació de sistemes de xifrat fora d'Estats Units... això a pesar que, ja llavors, el bloc de l'Est havia cessat d'existir. El govern dels Estats Units va decidir que l'aparició de PGP fora de les seves fronteres era una prova que el seu autor havia violat les normes ITAR, i per tant, va ser sotmès a una recerca federal. Ja que, recordem, EUA seguia intentant mantenir el monopoli sobre criptografia, el cas PGP hagués suposat una bona mostra de la seva fermesa en aquest camp, així com un escarment perquè els altres usuaris d'Internet prenguessin bona nota. Zimmermann va negar que hagués estat ell qui va exportar PGP. Però no es va acovardir, i va preparar la seva defensa legal. Després de diversos anys de fintes i evasives, el govern nord-americà va acabar tirant la tovallola, i mai van presentar càrrecs formals contra ell. Un segon trencaclosques de cap va venir de la mà de l'algorisme RSA. Els seus autors (Rivest, Shamir, Adleman) van publicar l'algorisme l'any 1977, però a causa de la pressió del govern nord-americà, es va fer de forma precipitada. Com a resultat, no va ser fins a setembre de 1983 que aquesta patent va ser concedida. La patent (número 4.405.829) va ser concedida al MIT (Institut de Tecnologia de Massachusetts), on treballaven Rivest, Shamir i Adleman, i els seus drets van ser llicenciats a una entitat anomenada RSA Security Inc. Amb els anys, RSA Security Inc. va permetre molts usos per a finalitats acadèmiques i de recerca, mitjançant petició prèvia per escrit. Finalment, el 6 de Setembre de 2000, l'empresa va cedir els seus drets de la patent (aquests drets van caducar tres setmanes després, així que no es va tractar de generositat per la seva banda). Però en 1991, RSA Security no estava per a bromes, i va acusar a Zimmermann de violar les seves patents. Més concretament, qui va fer tal acusació va ser l'entitat Public Key Partners (PKP), formada per RSA Security i uns altres, que eren els que controlaven l'ús comercial de l'algorisme RSA. De nou, Zimmermann declina tota responsabilitat, afirmant que és obligació de l'usuari sol·licitar una llicència, cosa que avisa en la guia de PGP. Curiosament, part de la salvació va provenir del MIT, als quals no li feia molta gràcia que RSA Security s'enredés en una guerra amb el creador de PGP. Després de certa pressió per part del MIT, tots van arribar a un acord. RSA Security va oferir un paquet "toolkit" anomenat RSAREF, per ser incorporat a PGP. Aquest "toolkit" tenia limitada la compatibilitat retrospectiva, és a dir, no tot el fet en versions anteriors (missatges xifrats, signatures, claus) podia ser importat a la nova versió. La nova llibreria criptogràfica era una mica més lenta que l'anterior. Però, per fi, podia llançar-se una versió de PGP totalment lliure de problemes de patents.
Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ Portava el nome de versió 2.5, que després d'algunes modificacions per eliminar fallades, es va quedar finalment en el 2.6.2. Per fi, una versió legal i llesta per usar. Excepte per un problema: seguia sent il·legal exportar-ho fora d'Estats Units. Per descomptat, el temps passat entre la seva publicació oficial dins d'EUA i l'aparició de còpies en l'exterior es podia mesurar en mil·lisegons. Però persistia el problema que els usuaris tenien una còpia tècnicament il·legal a les seves mans, cosa que espantaria a qualsevol empresa que volgués usar PGP. Un noruec anomenat Stale Schumacher va trobar una sorprenent solució al problema. Per comprendre-la hem de tenir en compte que, als Estats Units, el dret a la llibertat de premsa i d'expressió es considera poc menys que sagrat. Això significa que, si bé exportar alguna cosa com PGP pugui estar prohibit, podem imprimir el seu codi font, enquadernar-ho, ficar-ho en la nostra maleta i treure-ho del país! De forma totalment legal! Fins i tot les regulacions ITAR s’han de plegar davant la Primera Esmena. Sembla rar, però així són les coses. Jo mateix tinc una còpia del "Applied Cryptograph" de Bruce Schneier, que en teoria hauria d'haver inclòs un disquet amb diversos algorismes de xifrat. Mai vaig rebre el disc, però un apèndix del llibre conté el codi font d'algorismes com DONIS o RC5. Això va ser exactament el que Schumacher va fer, amb una excepció: no va tenir si més no que imprimir el codi font ja que la pròpia MIT ho venia en forma impresa. L'únic problema el va tenir en arribar a casa, perquè calia agafar tot aquest codi font, passar-ho a format digital i compilar-ho. No és tasca fàcil (el codi ocupava diversos volums), però amb un OCR i paciència, llest. Va néixer així la versió internacional de PGP, la 2.6.3i. L'única diferència funcional respecte a la seva homòloga nord-americana consisteix que utilitzava una llibreria de nombres grans diferent, creada pel propi Zimmermann. Stale Schumacher va fer públiques aquesta i altres versions posteriors de PGP per a diversos sistemes operatius en el seu "International PGP Home Page". De vegades el resultat no va ser l'esperat. Per exemple, quan va aparèixer la versió 5.0i "internacional" per Windows, molts usuaris van resultar decebuts: van desaparèixer les opcions de signatura i signatura d'arxius, i ni tan sols es podien utilitzar o crear les antigues claus RSA (havien estat substituïdes per les Diffie-Hellman). No obstant això, una versió posterior, la 5.5.3, va ser "internacionalitzada" en tota la seva glòria. Finalment, les versions internacionals van perdre la seva raó de ser. Per diversos motius, entre els quals podem incloure la creixent popularització del fenomen Internet, la creixent puja del negoci digital, i potser les ganes de deixar de fer el ridícul, el setembre de 1999 el govern nord- americà va relaxar les seves regles d'exportació en quant a programari criptogràfic. Per fi, un programa de criptografia que usés claus de més de 40 bits podia ser exportat legalment. En 2002, la pàgina internacional de PGP va deixar de ser actualitzada, però la seva contribució a una major permissivitat de les fronteres electròniques és innegable. Fins i tot avui, aquesta pàgina segueix disponible en www.pgpi.org. Al final del segle XX va ser testimoni d'una liberalització en l'ús de PGP. Els programes de xifrat ja no estaven a la vora de la il·legalitat, i per fi la creixent comunitat d'usuaris d'Internet podia usar xifrat fort sense temors a una puntada en la porta per part dels homes de negre. A
Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ Espanya, la pàgina PGP Magazine va ser una de les precursores a popularitzar l'ús de PGP en la comunitat hispana. PGP Magazine ha desaparegut, però segueix sent un referent, ara sota el nom de Kriptópolis. La signatura PGP que protegeix la integritat d'aquest mateix butlletí apareix en la seva part inferior. No obstant això, la història de PGP va continuar sent un camí escabrós. Els protagonistes d'aquest drama van passar a ser empreses i més empreses. Per a això, tornem una mica cap a enrere. Amb l'aparició de PGP 2.6.3 (i 2.6.3i), els usuaris de MS-DOS van tenir una eina de grau militar a les seves mans. En popularitzar-se Windows 95, no obstant això, va haver-hi necessitat de facilitar la gestió d'ús a persones que no simpatitzaven amb la finestra negra ni la línia de comandes o símbol de sistema. Es van fer llavors molt populars diversos "shells", entorns gràfics que permetien usar PGP per a MS-DOS sense preocupar-se més que a prémer botons o activar icones. En el seu moment, va arribar la versió 5.0, per Windows 95, a la qual va seguir la molt reeixida 5.5.3i. El manual de l'usuari es va traduir. Es considera que aquest manual és molt útil per a l'usuari interessat en PGP, fins i tot avui dia, així que si t’interessa, el pots trobar aquí: http://cripto.es/expedien/hisparch/man553pd.zip. Hem parlat de PGP i les seves versions. Parlem ara de l'empresa que ho controla. Quan Zimmermann es va lliurar de la recerca federal per possible violació de lleis d'exportació, va fundar l'empresa PGP Inc. amb el propòsit de desenvolupar i comercialitzar els seus productes. La idea era que hi hagués versions gratuïtes per a usuaris del carrer, i versions amb llicència comercial per ser usada per empreses i corporacions. No obstant això, al desembre de 1997, PGP Inc. va ser adquirida per Network Associates (NAI), una empresa fundada originàriament per John McAfee (el de l'antivirus McAfee). Pocs mesos després, va aparèixer la primera versió de PGP/NAI: la 6.0. La nova propietària de PGP no va començar amb bon peu, ja que aquesta versió (almenys, la freeware) tornava a mancar de suport per a claus RSA. Això, i el fet que ara PGP estava governat per una empresa desitjosa de guanyar diners en lloc de per el "oncle Phil", van començar a aixecar sospites entre la comunitat d'usuaris. Més d'un es preguntava per què hauria d'usar un producte comercial, per molta versió gratuïta que hi hagués, en lloc de les versions confiables del passat. No hi havia proves de males arts, i en realitat mai les va haver-hi. Senzillament que molestava el canvi de filosofia, des de la dels "vells temps" en què la gent feia coses per la cara, a la dels nous colons empresarials. De fet, NAI no solament va seguir publicant el codi font de PGP, sinó que va afegir funcions noves als seus productes, com xifrat de disc, tallafocs i detecció d'intrusos. Un dels millors productes de PGP, la versió 6.5, va aparèixer al novembre de 1999. Hi ha un informe sobre aquest tema a: http://cripto.es/informes/info015.htm) inclou tots els canvis fets al programa. Aquestes van ser les paraules de valoració sobre la versió Internacional:
Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ "PGP versió 6.5.1i és, al meu entendre, de lo millor que s'ha cuit en la cuina de Network Associates. Mai he ocultat el meu descontentament (parcial, que no complet) per l'anterior versió, la 6.0i. No obstant això, molts dels motius per a les meves objeccions han desaparegut." Clar que no es va poder menys que expressar alguns dels dubtes, que compartien altres usuaris. La principal va ser que Network Associates, propietària de PGP, s'havia unit a una associació d'empreses anomenada Key Recovery Alliance (KRA). Aquesta associació promovia la creació de programari criptogràfic amb opcions de dipòsit o recuperació de clau (key escrow / key recovery). En aquells temps, el dipòsit de claus era una opció barrejada pels governs per controlar l'ús de criptografia forta. La idea bàsica era: sí, facin-lo servir, no hi ha problema, però deixi'm vostè una còpia de la clau, per si de cas. El debat sobre el "key escrow" era molt intens en aquells temps, i encara que no ho repetirem, es recomana al lector la lectura dels Informes 16, 17 i 18 (http://cripto.es/ecosdelpasado.htm#informes), de finals de 1999. Fins a on sabem, mai es va intentar seriosament dotar a PGP d'un sistema de dipòsit de claus. Però el fet és que, en aquella època paranoica (hi havia motius per ser paranoics!), sonava molt rar que els amos de PGP abracessin una alianca pro-dipòsit, i no va ajudar en res a la reputació de NAI. Com tampoc va ajudar la relaxació de les normes d'exportació de finals de 1999. Això no va ser res dolent en si, però va propiciar que NAI deixés de publicar el codi font de PGP. L'equip de PGP, amb Zimmermann al capdavant, va objectar, però NAI creia que, ja que ja no hi ha necessitat de creuar la frontera amb una còpia del codi font imprès, perquè seguir publicant- ho? Probablement no va ser més que una tàctica empresarial, però va provocar una forta polèmica. Què passava amb aquesta empresa, que abraça als partidaris del dipòsit de claus i es nega a desvetllar el codi font? Com fiar-nos, ara que Zimmermann no està al comandament? Per què creure ja en PGP? NAI estava tocada, i fortament. Com a exemple, a l'agost de 2000 es va descobrir una vulnerabilitat en l'estructura de claus del programa ("Forat en PGP": http://cripto.es/informes/info024.htm). Un investigador alemany va descobrir una fallada relacionada amb la anomenada Clau de Desxifrat Addicional. El CERT va donar l'alarma en un comunicat datat el 24 d'Agost. Network Associates no solament li va donar àmplia cabuda l'endemà a la seva pàgina web, sinó que tan sols l'endemà passat ja havien desenvolupat una versió corregida: la 6.5.8. Malgrat això, molts usuaris van criticar a NAI, no per la seva actuació durant la "crisi de la fallada" (que va ser impecable), sinó per considerar-ho la gota que va vessar el got. Michel Boissou, un cripto-activista francès, va publicar una sèrie de suggeriments a NAI. Entre altres coses, demanava posar el nucli de PGP freeware sota llicència GNU, sotmetre les versions actuals de PGP a revisió de criptògrafs independents, i en definitiva tornar als "bons vells temps". Estava clar que PGP, com a producte, feia aigües sota el riu de NAI. No es tractava tant de la seva validesa com a producte de seguretat en si, sinó més aviat de la seva reputació i credibilitat. Alea jacta est. Al començament de 2001, Philip Zimmermann va abandonar NAI. Aquest mateix any, a l'octubre, NAI li penjava a PGP l'etiqueta de "es ven". Només es va quedar amb la versió en línia de comandes, que va continuar venent sota l'etiqueta de McAfee I-Business Server.
Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ A mitjans de 2002, un grup d'antics accionistes de PGP i diversos treballadors del ram van obtenir 14 milions de dòlars de dues signatures de capital, per comprar PGP a Network Associates, formant amb això una nova empresa: PGP Corporation. Immediatament van començar els treballs per preparar la versió 8.0, per Windows XP i MacOS X, que van aparèixer al desembre. Simultàniament, PGP Corporation va alliberar el codi font de la seva nova versió, la qual parla alt i fort sobre el nou canvi de timó. En l'actualitat, PGP Corporation proporciona un ampli conjunt de solucions de seguretat informàtica. Zimmermann forma part d'aquesta empresa com a consultor especial, i en l'actualitat està desenvolupant un programari de telefonia VoIP xifrada, anomenat Zfone. PGP porta 19 anys d'existència. Durant la meitat d'aquest temps els seus responsables s'han dedicat a lluitar contra la maquinària legal nord-americana i contra les reticències de la comunitat criptogràfica. Després de l'adquisició per part de NAI, es reconeix que va començar a perdre l'interès per PGP. Amb això vull dir que avorrís parlar de les noves versions, o de què va a fer l'empresa amb el programa, què diuen els amos i coses per l'estil. Per descomptat, es va seguir fent servir. De fet, la versió 6.5.8, que es va adoptar fa una dècada, segueix acompanyant en la la tasca de molts usuaris, i funciona fins i tot en entorn Windows XP. Es fa servir, en particular per a signatura digital, encara que es pot reconèixer que és difícil trobar internautes amb els quals intercanviar correus xifrats. Per això, quan fa alguns mesos es varen començar a sentir històries sobre PGP, es va creure que era el principi de la fi. En un article de The Register d'Abril de 2010 es deia que Jon Calles, un dels co-fundadors de PGP Inc., abandonava l'empresa per acceptar un treball en Apple. Sonava com si les rates comencessin a abandonar un vaixell que s'enfonsa. No obstant això, a tenor dels comunicats de premsa de Pgp.com, semblava que les coses anessin a millor: des de 2007, la seva llista de clients incloïa noms com a BNP Paribas, DIEHL, Barclays i el Ministeri de Defensa britànic, les seves oficines s'expandien per França i Alemanya, i l'empresa anunciava més i més productes per a seguretat corporativa. El seu web esmenta un sens fi de premis i reconeixements rebuts, encara que qui no exagera els propis mèrits? Pocs dies després de la partida de Calles, els mitjans digitals es van fer ressò del final de Pgp.com. L'empresa finalment desapareix del mapa. Però no plorin per ella, perquè no s'ha enfonsat. Tot el contrari: el 29 d'Abril, el gegant informàtic Symantec va anunciar la compra de Pgp.com per 300 milions de dòlars. Si tenim en compte que amb prou feines deu anys abans NAI la va vendre per uns ridículs 14 milions, això es tradueix en un creixement anual de més del 45%. És clar que a PGP li va anar bé lliurar-se de Network Associates. Queda per veure si li convé unir-se a Symantec. No obstant això, sembla que els plans passen per integrar els productes de PGP en els paquets informàtics de Symantec, és a dir, no sembla que vagin a repetir l'error de NAI de comprar i guardar en un calaix. De fet, Pgp.com va ser comprada juntament amb una altra empresa d'encriptació anomenada GuardianEdge, i al maig Symantec va tornar a sorprendre anunciant l'adquisició, per 1.300 milions de dòlars, dels productes d'autenticació
Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ de Verisign, una de les més conegudes Autoritats de Certificació, la qual cosa demostra que Symantec juga realment fort. Els queda el problema d'integrar-ho tot de forma eficient, però si ho aconsegueixen... La seva gran rival McAffee va adquirir en 2007 una altra empresa anomenada SafeBoot, i segur que ho va fer donant-se amb un canto a les dents en pensar en la ganga que van vendre a preu de saldo en 2002. Amb aquesta fusió i si tot va bé, Symantec es convertirà en el Microsoft de la seguretat informàtica, i PGP es trobarà en l’epicentre. Per desgràcia, això significarà que PGP desapareixerà com a marca. Els seus productes s'entrellaçaran i formaran part dels paquets de seguretat de Symantec, i amb això perdrem molts dels ingredients que tant ens agradava de PGP: les versions gratuïtes, el codi font, i fins i tot el propi nom. No és el mateix. Així mateix, ens trobem amb un possible problema potencial. Fins ara, PGP s'ha basat en el concepte de "xarxes de confiança", on l'usuari decideix en qui confiar. En aquest punt, es fa esmena a l’Informe 9 ("Confiança, validesa i el doctor Watson"), que malgrat tenir ja onze anys resultarà molt il·lustrador al lector interessat. Segueix disponible a http://www.cripto.es/informes/info009.htm No obstant això, la compra del negoci d'autenticació de Verisign indica que les versions futures de PGP (o com es diu d'ara en endavant) molt probablement es basaran en autoritats de certificació, és a dir, un esquema en el qual ens donen una llista de "notaris digitals" en els quals hem de confiar, vulguem o no. Però no cal témer, fans de Pretty Good Privacy. El "esperit" de PGP segueix present en moltes formes. En els seus temps, va resultar un producte tan revolucionari que avui s'ha convertit en un estàndard: la IETF ho ha definit com RFC 4080 (disponible en Internet: http://www.ietf.org/rfc/rfc4880.txt). La OpenPGP Alliance, els membres de la qual inclouen empreses com SSH, Qualcomm i Network Associates, afirmen que és l'estàndard de xifrat per a correu electrònic més usat del món. L'estàndard RFC 4080 ha estat usat per crear una versió de PGP en programari lliure, denominada GPG (GNU Privacy Guard). Es troba disponible a http://www.gnupg.org/index.es.html. També segueixen disponibles moltes de les versions "internacionals" antigues, a la pàgina www.pgpi.org Com pots veure, PGP segueix en plena forma. Tenen disponibles tot tipus de versions, per a qualsevol sistema operatiu, tant gratuïtes com a comercials. Últimament ho usa fins i tot la heroïna hacker de la Trilogia Millennium de Stieg Larsson. Molt bé per Lisbeth Salander, millor ens vindrà a nosaltres. A gairebé dues dècades des de la seva creació, PGP té la salut millor que mai. I això, en un món connectat i vulnerable com mai abans en la seva història, és realment bona notícia...

Recommended

Presentació de Pinnacle studio 16 ultimate v.16
Presentació de Pinnacle studio 16 ultimate v.16Presentació de Pinnacle studio 16 ultimate v.16
Presentació de Pinnacle studio 16 ultimate v.16Roger Casadejús Pérez
 
L'email marketing
L'email marketingL'email marketing
L'email marketingRoger Casadejús Pérez
 
Jerarquia d'Apple abans de la mort de Steve Jobs
Jerarquia d'Apple abans de la mort de Steve JobsJerarquia d'Apple abans de la mort de Steve Jobs
Jerarquia d'Apple abans de la mort de Steve JobsRoger Casadejús Pérez
 
Presentació de Javascript
Presentació de JavascriptPresentació de Javascript
Presentació de JavascriptRoger Casadejús Pérez
 
Breu biografia de Linus Torvalds
Breu biografia de Linus TorvaldsBreu biografia de Linus Torvalds
Breu biografia de Linus TorvaldsRoger Casadejús Pérez
 
Presentació de Snow leopard
Presentació de Snow leopardPresentació de Snow leopard
Presentació de Snow leopardRoger Casadejús Pérez
 
Open KM i open CMS
Open KM i open CMSOpen KM i open CMS
Open KM i open CMSRoger Casadejús Pérez
 
Presentació històrica de Visual.NET
Presentació històrica de Visual.NETPresentació històrica de Visual.NET
Presentació històrica de Visual.NETRoger Casadejús Pérez
 

Recommended

Presentació de Pinnacle studio 16 ultimate v.16
Presentació de Pinnacle studio 16 ultimate v.16Presentació de Pinnacle studio 16 ultimate v.16
Presentació de Pinnacle studio 16 ultimate v.16Roger Casadejús Pérez
 
L'email marketing
L'email marketingL'email marketing
L'email marketingRoger Casadejús Pérez
 
Jerarquia d'Apple abans de la mort de Steve Jobs
Jerarquia d'Apple abans de la mort de Steve JobsJerarquia d'Apple abans de la mort de Steve Jobs
Jerarquia d'Apple abans de la mort de Steve JobsRoger Casadejús Pérez
 
Presentació de Javascript
Presentació de JavascriptPresentació de Javascript
Presentació de JavascriptRoger Casadejús Pérez
 
Breu biografia de Linus Torvalds
Breu biografia de Linus TorvaldsBreu biografia de Linus Torvalds
Breu biografia de Linus TorvaldsRoger Casadejús Pérez
 
Presentació de Snow leopard
Presentació de Snow leopardPresentació de Snow leopard
Presentació de Snow leopardRoger Casadejús Pérez
 
Open KM i open CMS
Open KM i open CMSOpen KM i open CMS
Open KM i open CMSRoger Casadejús Pérez
 
Presentació històrica de Visual.NET
Presentació històrica de Visual.NETPresentació històrica de Visual.NET
Presentació històrica de Visual.NETRoger Casadejús Pérez
 
Breu biografia de Richard Stallman
Breu biografia de Richard StallmanBreu biografia de Richard Stallman
Breu biografia de Richard StallmanRoger Casadejús Pérez
 
Los Hackers
Los HackersLos Hackers
Los Hackersyerzonn
 
Programari lliure
Programari lliureProgramari lliure
Programari lliureXxxLuaxxX
 
La pirateria
La pirateriaLa pirateria
La pirateriamarirodriguez99
 
Historia
HistoriaHistoria
Historiatrabuko5
 
Presentació
Presentació Presentació
Presentació betiko
 
La xarxa d'internet
La xarxa d'internetLa xarxa d'internet
La xarxa d'internetmarcilady
 
Xarxa d'Internet
Xarxa d'InternetXarxa d'Internet
Xarxa d'InternetlLaAdDYy
 
Presentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena MurcianoPresentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena Murcianoe m
 
Presentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena MurcianoPresentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena Murcianoe m
 
Informática
InformáticaInformática
Informáticasandra_gf
 
Criptografia
CriptografiaCriptografia
CriptografiaXavier Sala Pujolar
 
Projecte inicial informàtica
Projecte inicial informàticaProjecte inicial informàtica
Projecte inicial informàticachispi16
 
Practiques materia actic
Practiques materia acticPractiques materia actic
Practiques materia acticaboussif
 
Introducció al programari lliure
Introducció al programari lliureIntroducció al programari lliure
Introducció al programari lliuresalvadorrueda
 
Delictes A La Xarxa Online4dret
Delictes A La Xarxa Online4dretDelictes A La Xarxa Online4dret
Delictes A La Xarxa Online4dretimorell
 
Informàtica
InformàticaInformàtica
Informàticachispi16
 
Origen de l'ordinador
Origen de l'ordinadorOrigen de l'ordinador
Origen de l'ordinadorMarinaLopezM
 
Activitat 1
Activitat 1 Activitat 1
Activitat 1 pepitab3
 
Activitat 1
Activitat 1Activitat 1
Activitat 1pepitab3
 
Presentació de Wordpress fins a la 3.5.1
Presentació de Wordpress fins a la 3.5.1Presentació de Wordpress fins a la 3.5.1
Presentació de Wordpress fins a la 3.5.1Roger Casadejús Pérez
 
Presentació de Facebook
Presentació de FacebookPresentació de Facebook
Presentació de FacebookRoger Casadejús Pérez
 

More Related Content

Similar to Presentació de PGP (Pretty Good Privacy)

Los Hackers
Los HackersLos Hackers
Los Hackersyerzonn
 
Programari lliure
Programari lliureProgramari lliure
Programari lliureXxxLuaxxX
 
Presentació
Presentació Presentació
Presentació betiko
 
La xarxa d'internet
La xarxa d'internetLa xarxa d'internet
La xarxa d'internetmarcilady
 
Xarxa d'Internet
Xarxa d'InternetXarxa d'Internet
Xarxa d'InternetlLaAdDYy
 
Presentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena MurcianoPresentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena Murcianoe m
 
Presentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena MurcianoPresentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena Murcianoe m
 
Informática
InformáticaInformática
Informáticasandra_gf
 
Projecte inicial informàtica
Projecte inicial informàticaProjecte inicial informàtica
Projecte inicial informàticachispi16
 
Practiques materia actic
Practiques materia acticPractiques materia actic
Practiques materia acticaboussif
 
Introducció al programari lliure
Introducció al programari lliureIntroducció al programari lliure
Introducció al programari lliuresalvadorrueda
 
Delictes A La Xarxa Online4dret
Delictes A La Xarxa Online4dretDelictes A La Xarxa Online4dret
Delictes A La Xarxa Online4dretimorell
 
Informàtica
InformàticaInformàtica
Informàticachispi16
 
Origen de l'ordinador
Origen de l'ordinadorOrigen de l'ordinador
Origen de l'ordinadorMarinaLopezM
 
Activitat 1
Activitat 1 Activitat 1
Activitat 1 pepitab3
 
Activitat 1
Activitat 1Activitat 1
Activitat 1pepitab3
 

Similar to Presentació de PGP (Pretty Good Privacy) (20)

Breu biografia de Richard Stallman
Breu biografia de Richard StallmanBreu biografia de Richard Stallman
Breu biografia de Richard Stallman
 
Los Hackers
Los HackersLos Hackers
Los Hackers
 
Programari lliure
Programari lliureProgramari lliure
Programari lliure
 
La pirateria
La pirateriaLa pirateria
La pirateria
 
Historia
HistoriaHistoria
Historia
 
Presentació
Presentació Presentació
Presentació
 
La xarxa d'internet
La xarxa d'internetLa xarxa d'internet
La xarxa d'internet
 
Xarxa d'Internet
Xarxa d'InternetXarxa d'Internet
Xarxa d'Internet
 
Presentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena MurcianoPresentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena Murciano
 
Presentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena MurcianoPresentació - Oriol Boix, Joel Medir i Elena Murciano
Presentació - Oriol Boix, Joel Medir i Elena Murciano
 
Informática
InformáticaInformática
Informática
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Projecte inicial informàtica
Projecte inicial informàticaProjecte inicial informàtica
Projecte inicial informàtica
 
Practiques materia actic
Practiques materia acticPractiques materia actic
Practiques materia actic
 
Introducció al programari lliure
Introducció al programari lliureIntroducció al programari lliure
Introducció al programari lliure
 
Delictes A La Xarxa Online4dret
Delictes A La Xarxa Online4dretDelictes A La Xarxa Online4dret
Delictes A La Xarxa Online4dret
 
Informàtica
InformàticaInformàtica
Informàtica
 
Origen de l'ordinador
Origen de l'ordinadorOrigen de l'ordinador
Origen de l'ordinador
 
Activitat 1
Activitat 1 Activitat 1
Activitat 1
 
Activitat 1
Activitat 1Activitat 1
Activitat 1
 

More from Roger Casadejús Pérez

Presentació de Wordpress fins a la 3.5.1
Presentació de Wordpress fins a la 3.5.1Presentació de Wordpress fins a la 3.5.1
Presentació de Wordpress fins a la 3.5.1Roger Casadejús Pérez
 
Presentació de les novetats i llicències Vmware esxi 5
Presentació de les novetats i llicències Vmware esxi 5Presentació de les novetats i llicències Vmware esxi 5
Presentació de les novetats i llicències Vmware esxi 5Roger Casadejús Pérez
 

More from Roger Casadejús Pérez (20)

Presentació de Wordpress fins a la 3.5.1
Presentació de Wordpress fins a la 3.5.1Presentació de Wordpress fins a la 3.5.1
Presentació de Wordpress fins a la 3.5.1
 
Presentació de Facebook
Presentació de FacebookPresentació de Facebook
Presentació de Facebook
 
Presentació de Twitter
Presentació de TwitterPresentació de Twitter
Presentació de Twitter
 
Presentació del protocol TCP/IP
Presentació del protocol TCP/IPPresentació del protocol TCP/IP
Presentació del protocol TCP/IP
 
Presentació de la història de Google
Presentació de la història de GooglePresentació de la història de Google
Presentació de la història de Google
 
Presentació de les novetats i llicències Vmware esxi 5
Presentació de les novetats i llicències Vmware esxi 5Presentació de les novetats i llicències Vmware esxi 5
Presentació de les novetats i llicències Vmware esxi 5
 
Presentació de Virtual box
Presentació de Virtual boxPresentació de Virtual box
Presentació de Virtual box
 
Presentació històrica del VHS
Presentació històrica del VHSPresentació històrica del VHS
Presentació històrica del VHS
 
Ps3 slim al descobert
Ps3 slim al descobertPs3 slim al descobert
Ps3 slim al descobert
 
Presentació de Playstation 3
Presentació de Playstation 3Presentació de Playstation 3
Presentació de Playstation 3
 
Què és W3C?
Què és W3C?Què és W3C?
Què és W3C?
 
Sitemap.xml i robots.txt
Sitemap.xml i robots.txtSitemap.xml i robots.txt
Sitemap.xml i robots.txt
 
Seo: Com triomfar en els buscadors?
Seo: Com triomfar en els buscadors?Seo: Com triomfar en els buscadors?
Seo: Com triomfar en els buscadors?
 
Dues tecniques SEO de programació web
Dues tecniques SEO de programació webDues tecniques SEO de programació web
Dues tecniques SEO de programació web
 
Què és i com funciona el pagerank?
Què és i com funciona el pagerank?Què és i com funciona el pagerank?
Què és i com funciona el pagerank?
 
Url amigables
Url amigablesUrl amigables
Url amigables
 
Zona DMZ
Zona DMZZona DMZ
Zona DMZ
 
Presentació de spoofing
Presentació de spoofingPresentació de spoofing
Presentació de spoofing
 
IP brick
IP brickIP brick
IP brick
 
Presentació de Smoothwall
Presentació de SmoothwallPresentació de Smoothwall
Presentació de Smoothwall
 

Presentació de PGP (Pretty Good Privacy)

  • 1. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ Presentació de PGP (Pretty Good Privacy) Per entendre els orígens de PGP, hem de remuntar-nos a l'any 1991. En aquella època, el govern nord-americà estava començant a perdre el control sobre la criptografia, però seguia sent el seu principal usuari i les grans agències governamentals (particularment, la NSA) aplicaven tota la seva força a intentar restringir els usos no controlats dels sistemes criptogràfics. El 17 d'abril de 1991, la premsa d'EUA. va informar sobre una mesura introduïda en un paquet de legislació antiterrorista. D'haver estat aprovat, tots els fabricants d'equips de telecomunicacions haguessin estat obligats a instal·lar-ho posteriorment en els seus sistemes. L'esborrany d'aquesta llei deia: "És opinió del Congrés que els proveïdors de serveis de comunicació electrònica i fabricants d'equips per a serveis de comunicacions electròniques s'assegurin que els sistemes de comunicacions permetin al govern obtenir els continguts en text no xifrat de veu, dades i altres comunicacions quan estigui apropiadament autoritzat per la llei." Aquesta llei no es va arribar a aprovar, però mostrava obertament que el camp sencer de matemàtiques conegut com a criptografia es trobava en un trist de ser il·legalitzat. No només no hi hauria sistemes "segurs", sinó que s’inclou que la recerca matemàtica pura seria controlada i aprovada (o no) per la NSA. Això va revoltar a moltes persones, entre elles a un llicenciat informàtic anomenat Philip Zimmermann. El nostre heroi del dia. Philip Zimmermann es va enfrontar a l'amenaça de la il·legalització de la criptografia fent el que millor sabia fer: programar. Va pensar en un programa de xifrat fàcil d'usar, i tan segur que fos pràcticament inexpugnable. Per a això, va tirar mà del sistema de clau pública RSA, que havia estat inventat quinze anys abans, i ho va combinar amb un algorisme de clau simètrica de la seva pròpia invenció denominat Bass-O-Matic. La idea era generar un sistema híbrid, on el missatge era xifrat mitjançant l'algorisme simètric, la clau del qual era al seu torn xifrada per l'algorisme asimètric. També podia efectuar operacions de signatura digital, pel que utilitzava l'algorisme hash MD4. El programa així creat va ser batejat com PGP, inicials de Pretty Good Privacy (Privadesa Bastant Bona), i alliberat com a versió 1.0. Phil Zimmermann explica per què ho va fer: "Ens movem cap a un futur en el qual la nació estarà creuada per xarxes de dades d'alta capacitat, que uniran tots els nostres ordinadors. L'e-mail serà la norma per a tots ... potser algunes persones prefereixin les seves pròpies mesures de protecció (les del govern)... Si la privadesa és criminalitzada, només els criminals tindran privadesa ... però les persones corrents no tenen gairebé accés a tecnologia de grau militar per a criptografia de clau pública. PGP permet que les persones prenguin el control de la seva privadesa. Hi ha una creixent necessitat social per a això. Per això ho vaig escriure..." PGP 1.0 va ser un programa precipitat, i tenia alguns problemes.
  • 2. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ Per començar, l'algorisme simètric Bass-O-Matic va ser una creació de Phil, qui no era criptògraf professional, i el seu algorisme es va mostrar feble. També l'algorisme de hash MD4 tenia fallades. Però el sistema funcionava, i aviat es va anar estenent. Phil Zimmermann va distribuir còpies a alguns dels seus amics, aquests l'hi van passar a uns altres, i a poc a poc van anar apareixent còpies digitals, primer en butlletins BBS d'Estats Units i després, saltant les fronteres, a Internet i a la resta del món. Aquí va començar un dels trebcaclosques de cap per Zimmermann. Les regulacions ITAR, inicialment dissenyades per evitar l'exportació de tecnologia sensible a països del bloc de l'Est, restringia fortament l'exportació de sistemes de xifrat fora d'Estats Units... això a pesar que, ja llavors, el bloc de l'Est havia cessat d'existir. El govern dels Estats Units va decidir que l'aparició de PGP fora de les seves fronteres era una prova que el seu autor havia violat les normes ITAR, i per tant, va ser sotmès a una recerca federal. Ja que, recordem, EUA seguia intentant mantenir el monopoli sobre criptografia, el cas PGP hagués suposat una bona mostra de la seva fermesa en aquest camp, així com un escarment perquè els altres usuaris d'Internet prenguessin bona nota. Zimmermann va negar que hagués estat ell qui va exportar PGP. Però no es va acovardir, i va preparar la seva defensa legal. Després de diversos anys de fintes i evasives, el govern nord-americà va acabar tirant la tovallola, i mai van presentar càrrecs formals contra ell. Un segon trencaclosques de cap va venir de la mà de l'algorisme RSA. Els seus autors (Rivest, Shamir, Adleman) van publicar l'algorisme l'any 1977, però a causa de la pressió del govern nord-americà, es va fer de forma precipitada. Com a resultat, no va ser fins a setembre de 1983 que aquesta patent va ser concedida. La patent (número 4.405.829) va ser concedida al MIT (Institut de Tecnologia de Massachusetts), on treballaven Rivest, Shamir i Adleman, i els seus drets van ser llicenciats a una entitat anomenada RSA Security Inc. Amb els anys, RSA Security Inc. va permetre molts usos per a finalitats acadèmiques i de recerca, mitjançant petició prèvia per escrit. Finalment, el 6 de Setembre de 2000, l'empresa va cedir els seus drets de la patent (aquests drets van caducar tres setmanes després, així que no es va tractar de generositat per la seva banda). Però en 1991, RSA Security no estava per a bromes, i va acusar a Zimmermann de violar les seves patents. Més concretament, qui va fer tal acusació va ser l'entitat Public Key Partners (PKP), formada per RSA Security i uns altres, que eren els que controlaven l'ús comercial de l'algorisme RSA. De nou, Zimmermann declina tota responsabilitat, afirmant que és obligació de l'usuari sol·licitar una llicència, cosa que avisa en la guia de PGP. Curiosament, part de la salvació va provenir del MIT, als quals no li feia molta gràcia que RSA Security s'enredés en una guerra amb el creador de PGP. Després de certa pressió per part del MIT, tots van arribar a un acord. RSA Security va oferir un paquet "toolkit" anomenat RSAREF, per ser incorporat a PGP. Aquest "toolkit" tenia limitada la compatibilitat retrospectiva, és a dir, no tot el fet en versions anteriors (missatges xifrats, signatures, claus) podia ser importat a la nova versió. La nova llibreria criptogràfica era una mica més lenta que l'anterior. Però, per fi, podia llançar-se una versió de PGP totalment lliure de problemes de patents.
  • 3. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ Portava el nome de versió 2.5, que després d'algunes modificacions per eliminar fallades, es va quedar finalment en el 2.6.2. Per fi, una versió legal i llesta per usar. Excepte per un problema: seguia sent il·legal exportar-ho fora d'Estats Units. Per descomptat, el temps passat entre la seva publicació oficial dins d'EUA i l'aparició de còpies en l'exterior es podia mesurar en mil·lisegons. Però persistia el problema que els usuaris tenien una còpia tècnicament il·legal a les seves mans, cosa que espantaria a qualsevol empresa que volgués usar PGP. Un noruec anomenat Stale Schumacher va trobar una sorprenent solució al problema. Per comprendre-la hem de tenir en compte que, als Estats Units, el dret a la llibertat de premsa i d'expressió es considera poc menys que sagrat. Això significa que, si bé exportar alguna cosa com PGP pugui estar prohibit, podem imprimir el seu codi font, enquadernar-ho, ficar-ho en la nostra maleta i treure-ho del país! De forma totalment legal! Fins i tot les regulacions ITAR s’han de plegar davant la Primera Esmena. Sembla rar, però així són les coses. Jo mateix tinc una còpia del "Applied Cryptograph" de Bruce Schneier, que en teoria hauria d'haver inclòs un disquet amb diversos algorismes de xifrat. Mai vaig rebre el disc, però un apèndix del llibre conté el codi font d'algorismes com DONIS o RC5. Això va ser exactament el que Schumacher va fer, amb una excepció: no va tenir si més no que imprimir el codi font ja que la pròpia MIT ho venia en forma impresa. L'únic problema el va tenir en arribar a casa, perquè calia agafar tot aquest codi font, passar-ho a format digital i compilar-ho. No és tasca fàcil (el codi ocupava diversos volums), però amb un OCR i paciència, llest. Va néixer així la versió internacional de PGP, la 2.6.3i. L'única diferència funcional respecte a la seva homòloga nord-americana consisteix que utilitzava una llibreria de nombres grans diferent, creada pel propi Zimmermann. Stale Schumacher va fer públiques aquesta i altres versions posteriors de PGP per a diversos sistemes operatius en el seu "International PGP Home Page". De vegades el resultat no va ser l'esperat. Per exemple, quan va aparèixer la versió 5.0i "internacional" per Windows, molts usuaris van resultar decebuts: van desaparèixer les opcions de signatura i signatura d'arxius, i ni tan sols es podien utilitzar o crear les antigues claus RSA (havien estat substituïdes per les Diffie-Hellman). No obstant això, una versió posterior, la 5.5.3, va ser "internacionalitzada" en tota la seva glòria. Finalment, les versions internacionals van perdre la seva raó de ser. Per diversos motius, entre els quals podem incloure la creixent popularització del fenomen Internet, la creixent puja del negoci digital, i potser les ganes de deixar de fer el ridícul, el setembre de 1999 el govern nord- americà va relaxar les seves regles d'exportació en quant a programari criptogràfic. Per fi, un programa de criptografia que usés claus de més de 40 bits podia ser exportat legalment. En 2002, la pàgina internacional de PGP va deixar de ser actualitzada, però la seva contribució a una major permissivitat de les fronteres electròniques és innegable. Fins i tot avui, aquesta pàgina segueix disponible en www.pgpi.org. Al final del segle XX va ser testimoni d'una liberalització en l'ús de PGP. Els programes de xifrat ja no estaven a la vora de la il·legalitat, i per fi la creixent comunitat d'usuaris d'Internet podia usar xifrat fort sense temors a una puntada en la porta per part dels homes de negre. A
  • 4. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ Espanya, la pàgina PGP Magazine va ser una de les precursores a popularitzar l'ús de PGP en la comunitat hispana. PGP Magazine ha desaparegut, però segueix sent un referent, ara sota el nom de Kriptópolis. La signatura PGP que protegeix la integritat d'aquest mateix butlletí apareix en la seva part inferior. No obstant això, la història de PGP va continuar sent un camí escabrós. Els protagonistes d'aquest drama van passar a ser empreses i més empreses. Per a això, tornem una mica cap a enrere. Amb l'aparició de PGP 2.6.3 (i 2.6.3i), els usuaris de MS-DOS van tenir una eina de grau militar a les seves mans. En popularitzar-se Windows 95, no obstant això, va haver-hi necessitat de facilitar la gestió d'ús a persones que no simpatitzaven amb la finestra negra ni la línia de comandes o símbol de sistema. Es van fer llavors molt populars diversos "shells", entorns gràfics que permetien usar PGP per a MS-DOS sense preocupar-se més que a prémer botons o activar icones. En el seu moment, va arribar la versió 5.0, per Windows 95, a la qual va seguir la molt reeixida 5.5.3i. El manual de l'usuari es va traduir. Es considera que aquest manual és molt útil per a l'usuari interessat en PGP, fins i tot avui dia, així que si t’interessa, el pots trobar aquí: http://cripto.es/expedien/hisparch/man553pd.zip. Hem parlat de PGP i les seves versions. Parlem ara de l'empresa que ho controla. Quan Zimmermann es va lliurar de la recerca federal per possible violació de lleis d'exportació, va fundar l'empresa PGP Inc. amb el propòsit de desenvolupar i comercialitzar els seus productes. La idea era que hi hagués versions gratuïtes per a usuaris del carrer, i versions amb llicència comercial per ser usada per empreses i corporacions. No obstant això, al desembre de 1997, PGP Inc. va ser adquirida per Network Associates (NAI), una empresa fundada originàriament per John McAfee (el de l'antivirus McAfee). Pocs mesos després, va aparèixer la primera versió de PGP/NAI: la 6.0. La nova propietària de PGP no va començar amb bon peu, ja que aquesta versió (almenys, la freeware) tornava a mancar de suport per a claus RSA. Això, i el fet que ara PGP estava governat per una empresa desitjosa de guanyar diners en lloc de per el "oncle Phil", van començar a aixecar sospites entre la comunitat d'usuaris. Més d'un es preguntava per què hauria d'usar un producte comercial, per molta versió gratuïta que hi hagués, en lloc de les versions confiables del passat. No hi havia proves de males arts, i en realitat mai les va haver-hi. Senzillament que molestava el canvi de filosofia, des de la dels "vells temps" en què la gent feia coses per la cara, a la dels nous colons empresarials. De fet, NAI no solament va seguir publicant el codi font de PGP, sinó que va afegir funcions noves als seus productes, com xifrat de disc, tallafocs i detecció d'intrusos. Un dels millors productes de PGP, la versió 6.5, va aparèixer al novembre de 1999. Hi ha un informe sobre aquest tema a: http://cripto.es/informes/info015.htm) inclou tots els canvis fets al programa. Aquestes van ser les paraules de valoració sobre la versió Internacional:
  • 5. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ "PGP versió 6.5.1i és, al meu entendre, de lo millor que s'ha cuit en la cuina de Network Associates. Mai he ocultat el meu descontentament (parcial, que no complet) per l'anterior versió, la 6.0i. No obstant això, molts dels motius per a les meves objeccions han desaparegut." Clar que no es va poder menys que expressar alguns dels dubtes, que compartien altres usuaris. La principal va ser que Network Associates, propietària de PGP, s'havia unit a una associació d'empreses anomenada Key Recovery Alliance (KRA). Aquesta associació promovia la creació de programari criptogràfic amb opcions de dipòsit o recuperació de clau (key escrow / key recovery). En aquells temps, el dipòsit de claus era una opció barrejada pels governs per controlar l'ús de criptografia forta. La idea bàsica era: sí, facin-lo servir, no hi ha problema, però deixi'm vostè una còpia de la clau, per si de cas. El debat sobre el "key escrow" era molt intens en aquells temps, i encara que no ho repetirem, es recomana al lector la lectura dels Informes 16, 17 i 18 (http://cripto.es/ecosdelpasado.htm#informes), de finals de 1999. Fins a on sabem, mai es va intentar seriosament dotar a PGP d'un sistema de dipòsit de claus. Però el fet és que, en aquella època paranoica (hi havia motius per ser paranoics!), sonava molt rar que els amos de PGP abracessin una alianca pro-dipòsit, i no va ajudar en res a la reputació de NAI. Com tampoc va ajudar la relaxació de les normes d'exportació de finals de 1999. Això no va ser res dolent en si, però va propiciar que NAI deixés de publicar el codi font de PGP. L'equip de PGP, amb Zimmermann al capdavant, va objectar, però NAI creia que, ja que ja no hi ha necessitat de creuar la frontera amb una còpia del codi font imprès, perquè seguir publicant- ho? Probablement no va ser més que una tàctica empresarial, però va provocar una forta polèmica. Què passava amb aquesta empresa, que abraça als partidaris del dipòsit de claus i es nega a desvetllar el codi font? Com fiar-nos, ara que Zimmermann no està al comandament? Per què creure ja en PGP? NAI estava tocada, i fortament. Com a exemple, a l'agost de 2000 es va descobrir una vulnerabilitat en l'estructura de claus del programa ("Forat en PGP": http://cripto.es/informes/info024.htm). Un investigador alemany va descobrir una fallada relacionada amb la anomenada Clau de Desxifrat Addicional. El CERT va donar l'alarma en un comunicat datat el 24 d'Agost. Network Associates no solament li va donar àmplia cabuda l'endemà a la seva pàgina web, sinó que tan sols l'endemà passat ja havien desenvolupat una versió corregida: la 6.5.8. Malgrat això, molts usuaris van criticar a NAI, no per la seva actuació durant la "crisi de la fallada" (que va ser impecable), sinó per considerar-ho la gota que va vessar el got. Michel Boissou, un cripto-activista francès, va publicar una sèrie de suggeriments a NAI. Entre altres coses, demanava posar el nucli de PGP freeware sota llicència GNU, sotmetre les versions actuals de PGP a revisió de criptògrafs independents, i en definitiva tornar als "bons vells temps". Estava clar que PGP, com a producte, feia aigües sota el riu de NAI. No es tractava tant de la seva validesa com a producte de seguretat en si, sinó més aviat de la seva reputació i credibilitat. Alea jacta est. Al començament de 2001, Philip Zimmermann va abandonar NAI. Aquest mateix any, a l'octubre, NAI li penjava a PGP l'etiqueta de "es ven". Només es va quedar amb la versió en línia de comandes, que va continuar venent sota l'etiqueta de McAfee I-Business Server.
  • 6. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ A mitjans de 2002, un grup d'antics accionistes de PGP i diversos treballadors del ram van obtenir 14 milions de dòlars de dues signatures de capital, per comprar PGP a Network Associates, formant amb això una nova empresa: PGP Corporation. Immediatament van començar els treballs per preparar la versió 8.0, per Windows XP i MacOS X, que van aparèixer al desembre. Simultàniament, PGP Corporation va alliberar el codi font de la seva nova versió, la qual parla alt i fort sobre el nou canvi de timó. En l'actualitat, PGP Corporation proporciona un ampli conjunt de solucions de seguretat informàtica. Zimmermann forma part d'aquesta empresa com a consultor especial, i en l'actualitat està desenvolupant un programari de telefonia VoIP xifrada, anomenat Zfone. PGP porta 19 anys d'existència. Durant la meitat d'aquest temps els seus responsables s'han dedicat a lluitar contra la maquinària legal nord-americana i contra les reticències de la comunitat criptogràfica. Després de l'adquisició per part de NAI, es reconeix que va començar a perdre l'interès per PGP. Amb això vull dir que avorrís parlar de les noves versions, o de què va a fer l'empresa amb el programa, què diuen els amos i coses per l'estil. Per descomptat, es va seguir fent servir. De fet, la versió 6.5.8, que es va adoptar fa una dècada, segueix acompanyant en la la tasca de molts usuaris, i funciona fins i tot en entorn Windows XP. Es fa servir, en particular per a signatura digital, encara que es pot reconèixer que és difícil trobar internautes amb els quals intercanviar correus xifrats. Per això, quan fa alguns mesos es varen començar a sentir històries sobre PGP, es va creure que era el principi de la fi. En un article de The Register d'Abril de 2010 es deia que Jon Calles, un dels co-fundadors de PGP Inc., abandonava l'empresa per acceptar un treball en Apple. Sonava com si les rates comencessin a abandonar un vaixell que s'enfonsa. No obstant això, a tenor dels comunicats de premsa de Pgp.com, semblava que les coses anessin a millor: des de 2007, la seva llista de clients incloïa noms com a BNP Paribas, DIEHL, Barclays i el Ministeri de Defensa britànic, les seves oficines s'expandien per França i Alemanya, i l'empresa anunciava més i més productes per a seguretat corporativa. El seu web esmenta un sens fi de premis i reconeixements rebuts, encara que qui no exagera els propis mèrits? Pocs dies després de la partida de Calles, els mitjans digitals es van fer ressò del final de Pgp.com. L'empresa finalment desapareix del mapa. Però no plorin per ella, perquè no s'ha enfonsat. Tot el contrari: el 29 d'Abril, el gegant informàtic Symantec va anunciar la compra de Pgp.com per 300 milions de dòlars. Si tenim en compte que amb prou feines deu anys abans NAI la va vendre per uns ridículs 14 milions, això es tradueix en un creixement anual de més del 45%. És clar que a PGP li va anar bé lliurar-se de Network Associates. Queda per veure si li convé unir-se a Symantec. No obstant això, sembla que els plans passen per integrar els productes de PGP en els paquets informàtics de Symantec, és a dir, no sembla que vagin a repetir l'error de NAI de comprar i guardar en un calaix. De fet, Pgp.com va ser comprada juntament amb una altra empresa d'encriptació anomenada GuardianEdge, i al maig Symantec va tornar a sorprendre anunciant l'adquisició, per 1.300 milions de dòlars, dels productes d'autenticació
  • 7. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware © Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ de Verisign, una de les més conegudes Autoritats de Certificació, la qual cosa demostra que Symantec juga realment fort. Els queda el problema d'integrar-ho tot de forma eficient, però si ho aconsegueixen... La seva gran rival McAffee va adquirir en 2007 una altra empresa anomenada SafeBoot, i segur que ho va fer donant-se amb un canto a les dents en pensar en la ganga que van vendre a preu de saldo en 2002. Amb aquesta fusió i si tot va bé, Symantec es convertirà en el Microsoft de la seguretat informàtica, i PGP es trobarà en l’epicentre. Per desgràcia, això significarà que PGP desapareixerà com a marca. Els seus productes s'entrellaçaran i formaran part dels paquets de seguretat de Symantec, i amb això perdrem molts dels ingredients que tant ens agradava de PGP: les versions gratuïtes, el codi font, i fins i tot el propi nom. No és el mateix. Així mateix, ens trobem amb un possible problema potencial. Fins ara, PGP s'ha basat en el concepte de "xarxes de confiança", on l'usuari decideix en qui confiar. En aquest punt, es fa esmena a l’Informe 9 ("Confiança, validesa i el doctor Watson"), que malgrat tenir ja onze anys resultarà molt il·lustrador al lector interessat. Segueix disponible a http://www.cripto.es/informes/info009.htm No obstant això, la compra del negoci d'autenticació de Verisign indica que les versions futures de PGP (o com es diu d'ara en endavant) molt probablement es basaran en autoritats de certificació, és a dir, un esquema en el qual ens donen una llista de "notaris digitals" en els quals hem de confiar, vulguem o no. Però no cal témer, fans de Pretty Good Privacy. El "esperit" de PGP segueix present en moltes formes. En els seus temps, va resultar un producte tan revolucionari que avui s'ha convertit en un estàndard: la IETF ho ha definit com RFC 4080 (disponible en Internet: http://www.ietf.org/rfc/rfc4880.txt). La OpenPGP Alliance, els membres de la qual inclouen empreses com SSH, Qualcomm i Network Associates, afirmen que és l'estàndard de xifrat per a correu electrònic més usat del món. L'estàndard RFC 4080 ha estat usat per crear una versió de PGP en programari lliure, denominada GPG (GNU Privacy Guard). Es troba disponible a http://www.gnupg.org/index.es.html. També segueixen disponibles moltes de les versions "internacionals" antigues, a la pàgina www.pgpi.org Com pots veure, PGP segueix en plena forma. Tenen disponibles tot tipus de versions, per a qualsevol sistema operatiu, tant gratuïtes com a comercials. Últimament ho usa fins i tot la heroïna hacker de la Trilogia Millennium de Stieg Larsson. Molt bé per Lisbeth Salander, millor ens vindrà a nosaltres. A gairebé dues dècades des de la seva creació, PGP té la salut millor que mai. I això, en un món connectat i vulnerable com mai abans en la seva història, és realment bona notícia...